donderdag 30 juni 2011

Bewaren is makkelijk, vernietigen dat is moeilijk!

"How long does it take to do a 35-pass Gutmann wipe? 14 Days"
De afgelopen dagen heb ik nagedacht over de vernietiging van digitale archiefbescheiden. En dan vooral over de vraag: wanneer is weg weg genoeg.
Stel je hebt digitale archiefbescheiden die je, uiteraard conform de selectielijst, vernietigd wil hebben. Hoe doe je dat dan?
Even ervan uitgaande dat je een applicatie gebruikt die enigszins voldoet aan NEN 2082 (of MoReq 2010) en die dus in staat is om archiefstukken teniet te doen of te wissen "zonder dat zij weer kunnen worden gereconstrueerd." (NEN 2082, p.8) Wat betekent dit dan voor eventuele back-ups?
In veel organisaties waar ik kom, wordt gewerkt met dag-, week-, maand- en jaar-backups, waarbij die laatste om een of andere reden vaak permanent bewaard blijven. Dit betekent dus dat ik heel veel archiefstukken die ik eigenlijk al "vernietigd" heb, met behulp van die back-up kan reconstrueren. Dan is weg dus niet weg. In hoeverre is dit een probleem?
Interessant is trouwens dat NEN 2082 hier geen aandacht aan besteed, terwijl in MoReq 2010 wel geconstateerd wordt dat dit een probleem kan zijn:
Good business systems, including MoReq2010® compliant records systems, are designed with many levels of built in redundancy to ensure that the organisation’s data can survive critical disasters such as hardware failures. For example, most organisations will regularly place system backups into remote offsite storage for extended periods of time.
The presence of these safeguards can make it difficult for an organisation to be finally rid of electronic content even when the disposal process has been followed. Ensuring that a record has been destroyed and its electronic content erased from the MCRS and/or the system of origin, does not necessarily mean that the same content cannot still be found within the organisation, on backups, in the email system, on shared file drives and with staff who have made personal copies for their own use.
The extent of this issue stretches beyond the records system and the scope of MoReq2010®, to the heart of the organisation’s corporate policies and procedures around information governance. Each organisation must assess its own risk and put into place appropriate mitigation strategies.
Some of the measures that an organisation can put into place to mitigate the risk of retaining electronic content after it has been destroyed, include:
• Regularly recycling backups, so that no backup is older than (say) three months, this then sets a fixed time window from when records are destroyed in the MCRS to when their content is no longer recoverable from backup;
(MoReq 2010, p.507-508)
Aan de andere kant, in de papieren situatie slagen we er ook niet in om alle exemplaren van een archiefstuk te vernietigen. We doen net alsof er maar één exemplaar van ieder archiefstuk of dossier is en dat er binnen (en buiten!) een organisatie geen kopieën circuleren, die misschien ook vernietigd moeten worden. Want het feit dat deze documenten misschien niet de status van "archiefstuk" hebben, verandert dat natuurlijk niets aan de - mogelijk gevoelige - inhoud van het document. En dat is toch ook een van de redenen om archiefstukken na verloop van tijd te vernietigen.

Dus de vraag is: hoe zorg je er voor dat digitaal weg ook weg genoeg is?

Gerelateerd
Archiefstukken in MoReq 2010
Niet op tijd afgewerkt, dan gooi ik het weg
E-mailreproductie
Delete. The virtue of forgetting in the digital age

Plaatje: How long does it take to do a 35-pass Gutmann wipe? 14 Days van JoeBeone

3 opmerkingen:

  1. Een backup wordt ook niet eeuwig bewaard, dus het probleem verdwijnt langzaam vanzelf. Een andere optie is de volgende procedure, die ik ergens ben tegengekomen: als er een backup moet worden teruggezet worden daaruit de stukken die formeel al vernietigd waren opnieuw vernietigd. Klinkt misschien ingewikkeld, maar ook wel redelijk.

    BeantwoordenVerwijderen
  2. Hallo Paul, die procedure ken ik "toevallig" ook en hoewel ik hem wel
    elegant vind, toont hij ook meteen het probleem aan. Na een restore
    zijn de vernietigde archiefstukken er gewoon weer. Er valt aan niets
    te zien dat ze al vernietigd waren, omdat ze hoegenaamd identiek zijn
    aan hoe ze voor de vernietiging waren.
    En, ik weet dat 't een hoop gedoe is om een restore terug te zetten,
    maar de enige "bescherming" tegen het terug zetten is weer een
    procedure, en die kunnen, net als de bewaartermijnen van bâck-ups,
    veranderen als dat beter uitkomt.

    Op 30-06-11 heeft Disqus<> het
    volgende geschreven:

    BeantwoordenVerwijderen
    Reacties
    1. Even nog iets anders praktisch: het Archiefbesluit schrijft in artikel 8 o.a. het volgende voor: "De zorgdrager maakt van de vernietiging, vervanging of vervreemding een verklaring op, die ten minste een specificatie van de vernietigde, vervangen of vervreemde archiefbescheiden bevat, alsmede aangeeft op grond waarvan en op welke wijze de vernietiging, vervanging of vervreemding is geschied." Een specificatie van wat vernietigd is zal nog wel lukken, maar hoe leg ik vast op welke wijze vernietigd is? Simpel opschrijven dat ik op de delete-knop heb gedrukt lijkt me niet voldoende. Ik zie allerlei ijsberen (gisteravond bij de rijdende rechter geleerd) op de weg, maar misschien hebben jullie daar een praktische oplossing voor?

      Verwijderen